Comprensión de la política de auditoría

Idioma:

La política de auditoría determina las características de los registros de auditoría para el sistema local. Puede utilizar el comando auditconfig para establecer estas políticas. Para obtener más información, consulte la página del comando man auditconfig(1M).

La mayoría de las opciones de política de auditoría están desactivadas de manera predeterminada para minimizar los requisitos de almacenamiento y las demandas de procesamiento del sistema. Estas opciones son propiedades del servicio de auditoría y determinan las políticas que están vigentes en el inicio del sistema. Para obtener más información, consulte la página del comando man auditconfig(1M).

Utilice la siguiente tabla para determinar si las necesidades de su sitio justifican la sobrecarga adicional que se genera como resultado de la activación de una o más opciones de política de auditoría.

Tabla 2-2 Efectos de opciones de política de auditoría

Nombre de la política	Descripción	Consideraciones de políticas
`ahlt`	Esta política se aplica sólo a eventos asíncronos. Cuando está desactivada, esta política permite que se complete el evento sin que se haya generado un registro de auditoría. Cuando está activada, esta política detiene el sistema cuando la cola de auditoría está completa. La intervención administrativa es necesaria para limpiar la cola de auditoría, liberar espacio para los registros de auditoría y reiniciar. Esta política sólo puede activarse en la zona global. La política afecta todas las zonas.	Se prefiere la opción desactivada cuando la disponibilidad del sistema es más importante que la seguridad. Se prefiere la opción activada en un entorno donde la seguridad es primordial. Para obtener más detalles, consulte Políticas de auditoría para eventos síncronos y asíncronos.
`arge`	Cuando está desactivada, esta política omite variables de entorno de un programa ejecutado del registro de auditoría `execve`. Cuando está activada, esta política agrega variables de entorno de un programa ejecutado al registro de auditoría `execve`. Los registros de auditoría resultantes contienen más detalles que cuando esta política está desactivada.	La opción desactivada recopila mucho menos información que la opción activada. Para una comparación, consulte Cómo auditar todos los comandos por usuarios. Se prefiere la opción activada cuando se audita a unos pocos usuarios. La opción también resulta útil cuando no está seguro acerca de las variables de entorno que se utilizan en programas en la clase de auditoría `ex`.
`argv`	Cuando está desactivada, esta política omite argumentos de un programa ejecutado del registro de auditoría `execve`. Cuando está activada, esta política agrega argumentos de un programa ejecutado al registro de auditoría `execve`. Los registros de auditoría resultantes contienen más detalles que cuando esta política está desactivada.	La opción desactivada recopila mucho menos información que la opción activada. Para una comparación, consulte Cómo auditar todos los comandos por usuarios. Se prefiere la opción activada cuando se audita a unos pocos usuarios. La opción también resulta útil cuando tiene motivos para creer que programas poco usuales se ejecutan en la clase de auditoría `ex`.
`cnt`	Cuando está desactivada, esta política bloquea un usuario o una aplicación para que no se ejecute. El bloqueo ocurre cuando los registros de auditoría no se pueden agregar a la pista de auditoría porque la cola de auditoría está completa. Cuando está activada, esta política permite que se complete el evento sin que se haya generado un registro de auditoría. La política mantiene un recuento de registros de auditoría que se descartan.	Se prefiere la opción desactivada en un entorno donde la seguridad es primordial. Se prefiere la opción activada cuando la disponibilidad del sistema es más importante que la seguridad. Para obtener más detalles, consulte Políticas de auditoría para eventos síncronos y asíncronos.
`group`	Cuando está desactivada, esta política no agrega una lista de grupos a los registros de auditoría. Cuando está activada, esta política agrega una lista de grupos a cada registro de auditoría como un token especial.	La opción desactivada normalmente satisface los requisitos de seguridad del sitio. Se prefiere la opción activada cuando necesita auditar los grupos suplementarios a los que pertenece el sujeto.
`path`	Cuando está desactivada, esta política registra en un registro de auditoría una ruta como máximo que se utiliza durante una llamada del sistema. Cuando está activada, esta política registra cada ruta que se utiliza junto con un evento de auditoría para cada registro de auditoría.	La opción desactivada ubica como máximo una ruta en un registro de auditoría. La opción activada introduce cada nombre de archivo o ruta que se utiliza durante una llamada del sistema en el registro de auditoría como un token `path`.
`perzone`	Cuando está desactivada, esta política mantiene una única configuración de auditoría para un sistema. Un servicio de auditoría se ejecuta en la zona global. Los eventos de auditoría en zonas específicas se pueden ubicar en el registro de auditoría si el token de auditoría `zonename` estaba preseleccionado. Cuando está activada, esta política mantiene una configuración de auditoría, una cola de auditoría y registros de auditoría independientes para cada zona. Un servicio de auditoría se ejecuta en cada zona. Esta política se puede activar sólo en la zona global.	La opción desactivada es útil cuando no tiene una razón en especial para mantener un registro de auditoría, una cola y un daemon independientes para cada zona. La opción activada es útil cuando no puede supervisar el sistema eficazmente mediante un examen simple de registros de auditoría con el token de auditoría `zonename`.
`public`	Cuando está desactivada, esta política no agrega eventos de sólo lectura de objetos públicos a la pista de auditoría cuando la lectura de archivos está preseleccionada. Las clases de auditoría que contienen eventos de sólo lectura incluyen `fr`, `fa` y `cl`. Cuando está activada, esta política registra todos los eventos de auditoría de sólo lectura de objetos públicos si una clase de auditoría apropiada está preseleccionada.	La opción desactivada normalmente satisface los requisitos de seguridad del sitio. La opción activada rara vez es útil.
`seq`	Cuando está desactivada, esta política no agrega un número de secuencia a cada registro de auditoría. Cuando está activada, esta política agrega un número de secuencia a cada registro de auditoría. El token `sequence` contiene el número de secuencia.	La opción desactivada es suficiente si la auditoría se ejecuta sin problemas. Se prefiere la opción activada cuando la política `cnt` está activada. La política `seq` le permite determinar cuándo se descartan los datos. Como alternativa, puede utilizar el comando `auditstat` para ver registros descartados.
`trail`	Cuando está desactivada, esta política no agrega un token `trailer` a los registros de auditoría. Cuando está activada, esta política agrega un token `trailer` a cada registro de auditoría.	La opción desactivada crea un registro de auditoría más pequeño. La opción activada marca claramente el final de cada registro de auditoría con un token `trailer`. El token `trailer` se suele utilizar con el token `sequence`. El token `trailer` facilita la recuperación de pistas de auditoría dañadas.
`zonename`	Cuando está desactivada, esta política no incluye un token `zonename` en los registros de auditoría. Cuando está activada, esta política incluye un token `zonename` en cada registro de auditoría.	La opción desactivada es útil cuando no necesita hacer un seguimiento del comportamiento de auditoría por zonas. La opción activada es útil si desea aislar y comparar un comportamiento de auditoría entre zonas mediante la selección posterior de registros según la zona.